ISMS内部監査研修(ISO27001)

創研BizがISMS内部監査研修(ISO27001)を12,000円(税別)/人で開催いたします。

ISo27001内部監査員研修

ISMS内部監査研修(ISO27001)を創研Bizは神楽坂で開催いたします。

こんにちは、創研Biz研修事務局です。この度、神楽坂でISOの研修事業やコンサルティングの事業を開始することになりました。よろしくお願いいたします。

本サイトは、情報セキュリティマネージメントシステムの研修のご案内になります。本研修はISO27001のことだけではなく、最新のセキュリティについてもご説明をしますので、情報セキュリティを体系的に学べるカリキュラムとなっています。もちろん、テキスト・講師・研修環境の3つに留意しながら行っていきます。お気づきの点がございましたら、何なりとご指摘やご指導いただけますよう、よろしくお願いいたします。

価格について

ISMS内部監査研修(ISO27001)の1日・2日研修ともに12,000円(税別)/人

研修概要

当社の研修は1日コースと2日コースに分かれています。1日コースはどちらかというと講義を受講するお時間が1日しかとれない方向けのコースです。もし、2日間のお時間が許されるなら、2日間コースをご推奨いたします。

1日コースは?

難解な規格解説と管理策と内部監査の進め方について、講義中心の内容となっています。ただ読んでもよくわからない難解な規格を講師のわかりやすい説明と、図解説明豊富なテキストでご説明いたします。

2日コースは?

1日目に規格解説と内部監査の進め方、2日目に実践的な演習中心の内容となっています。演習では、具体的な事例を基に、グループディスカッションと実際に監査を体感していただきます。

ISO27001内部監査研修タイムスケジュール

※1日コースは以下のスケジュールの1日の部分です。
※2日コースは1日目がスケジュールの1日の部分で、2日目がスケジュールの2日の部分です。
ISO27001カリキュラム

ISO27001内部監査研修のお申込みはこちら→

研修会場について

研修会場は、伝統と新しいものが融合した街、神楽坂の赤城神社の横道の赤城坂を下るとございます。とても、静かで研修中は外の音はほとんど聞こえてきません。また、シャープ様にはラックをご提供頂きましたが、シャープ製品のBigpadという、モニターにもホワイトボードにもなる設備や、とても、座りやすい椅子(Plus製)がございます。私も、腰痛もちで長時間椅子に座っているときついのですが、この椅子だとかなり違います。受講者様に少しでも快適な環境でご受講いただきたいという思いからです。

講座風景

教室の設備についてご案内いたします。
席数:スクール形式で30名
ホワイトボード:大2枚、小2枚
BigPAD:モニターにもホワイトボードにもなります。
Wifi環境:有り(アクセスパスワードは係員に確認ください)
コピー機:ご利用下さい。

東京会場について

住所:東京都新宿区築地町4番地 神楽坂テクノスビル2階 創研Biz研修室

アクセスについて

東京メトロ東西線 神楽坂駅 出口「1」徒歩約3分

東京メトロ有楽町線 江戸川橋 出口「4」徒歩約10分

都営大江戸線 牛込神楽坂 出口「A3」徒歩約13分

※大手町駅から研修会場まで約13分で乗り換えなし(東京メトロ東西線利用の場合)

※新宿駅から研修会場まで約22分(都営新宿線利用で九段下で東京メトロ東西線利用の場合)

ISMS内部監査研修(ISO27001)スケジュールについて

※タブをクリックすると画面の切り替えができます。

  • 東京1日研修
  • 東京2日研修

ISO27001内部監査1日研修(東京)

2019年
10月

11月

12月

ISO27001内部監査研修のお申込みはこちら→

ISO27001内部監査2日間研修(東京)

2019年

10月

11月

12月

ISO27001内部監査研修のお申し込みはこちら→

お問合せ

お電話または、メールにて受付しております。

電話:通話費用無料:0120-971-254 創研Biz ISO事務局宛

※受付時間:平日9:00-17:00(年末年始に休暇あり)

mail:お問合せフォーム→ からお願いいたします。

※24H受付していますが、返信が翌営業日時になります。予めご了承をお願いいたします。

創研BizのISO事務局が考える勝手な記事です。

ISO27001とは何か?

ISMS=ISO27001とは? 

1. ISMSとは?
ISMS(Information Security Management System)とは,一般的に,情報セキュリティマネジメントシステムと,日本語では訳されます。
国際標準規格であるISO規格ではISO27001にあたりますが,この規格は「ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で定めた」という経緯があることから,IEC27001とも表現されます。また,国際標準規格は,各国内規格との連動がはかられることになっていることから,日本ではJISQ27001と表現される場合もあります。
つまり,この4つは,ほぼ同じことを表しているのですが,いずれにしてもISMSは,認証規格の中でも,今,最も注目を集める規格と言えます。

2. 情報とは,資産である
 では,ナゼ,ISMSが注目されるのでしょう? 
それは,「組織にとって情報が,非常に重要な資産であるから」です。
 「資産」と言うと,お金や株式などの債券,土地といったものを真っ先に思い浮かべる方が多いかもしれません。しかし,企業などの組織にとっての資産とは,ヒト・モノ・カネ・時間・空間・調達(調達先や流通経路など)に加え,「情報」と言われています。そして,今の時代において情報の資産価値は,急激に高まっています。
 たとえば,日本でもキャッシュレス決済サービスを提供する各社が,競うようにポイント還元などを実施していることは,多くの方がご存知でしょう。また,GAFA(Google,Amazon,Facebook,Apple)といったIT企業の時価総額の巨大さをご存知の方も多いはずです。これらの企業が取得している情報は,その利用価値が非常に高いのです。広告・マーケティングの他,商品・サービス開発等々,幅広く利用されることになるからです。
つまり,今,という時代は,「情報を制する者が,競争を制する時代」と言い換えられるわけです。
 

3. 情報は,攻撃されやすい
 非常に資産価値の高い「情報」ですが,当然ながら欠点もあります。それは,「しっかりと管理しておかないと盗まれやすい」つまり,「攻撃を受けやすい」という点です。
 農産物や工業製品などの「モノ」は,盗もうとしても物理的な限界があります。たとえば,リンゴを盗もうとしても,そのリンゴを盗むには人手が必要ですし,そもそもその場所に行かねばなりません。盗んだリンゴを載せる車なども必要ですし,さらに一瞬で盗むこともできません。つまり,盗む側からすれば,足がつきやすいことが想像できるでしょう。つまり,物理的な「モノ」を盗むのは,盗む側にとっても相応のリスクが伴うわけです。
それに比較して,情報は大量に,少人数で,その場に行かずとも,一瞬で盗むことが可能です。
これは,インターネット環境が整備されたこと,そして,情報がデータ化されたことと無縁ではありません。便利さと引き換えに,リスクが高まっている,とも言えるわけです。

4. あらためて情報セキュリティマネジメントシステムとは?
(1) 「モノ」と「情報」の守り方の違い
このような状況だからこそ,「どのようにして,企業等の組織の資産である情報を守るのか?」は,非常に大きな課題と言えます。そして,以前のような「モノを守るような方法」では,「情報」という大切な資産を守ることはできません。情報は,物理的な「モノ」とは,その性質が異なるからです。つまり,「情報ならではの守り方」を考え,対処していく必要がある,ということです。そして,その一つの方法として考えられるのが,「ISMS=情報セキュリティマネジメントシステム」なのです。
なお,ISMSが対象とする「情報」とは,組織が持つ「すべての情報」です。たとえば,決算情報であったり,各種商品・サービスの製造ノウハウであったり,マニュアルであったり,といったものすべての情報が対象になります。ただし,その資産価値は,組織ごとに異なるはず。もちろん,法律によって「守ること」が定められている個人情報などの情報もありますが,基本的には,その組織にとって資産価値の高い情報を優先して,「セキュリティ対策をマネジメントすること」が,ISMSの大きな目的になります。

(2) 情報セキュリティとは?
ところで,「ISMS=情報セキュリティマネジメントシステム」は,情報のマネジメントシステムではありません。あくまで,「情報セキュリティ」の「マネジメントシステム」です。
「何を当たり前のことを言っているの?」と思われるかもしれません。しかし,ISMSを「情報のマネジメントシステム」と思われている方もいらっしゃるようですので,注意が必要です。

そこで考えたいのは,「そもそも,セキュリティって何?」という点です。「セキュリティ」を,リスクや危険などととらえる方もいらっしゃるようですが,実際には「防犯」あるいは「安全保障」といった意味を持ちます。つまり,「情報そのものや,リスク・危険そのものはマネジメントできないし,管理もコントロールもできない」という「立場に立つこと」が,情報セキュリティを考えていくにあたっての基本なのです。
その一方で,ISMSが対象にする,「情報の<防犯(のしくみ)>や,情報の<安全保障(のしくみ)>」に関しては,自分たちがマネジメントできる。自分たちが管理・コントロールができるもの,なのです。そして,そのしくみを,自分たちが改善していくことを通じて,強固なものにすればするほど,自分たちの情報資産を守りやすくなりますし,そもそも攻撃を受けにくくなる。これが,「ISMS=情報セキュリティマネジメントシステム」の目的ととらえることができます。
このことは,空き巣などの「犯罪」を例にするとわかりやすいでしょう。防犯対策が取られている家より,防犯対策をまったくしていない家の方が空き巣に入りやすいし,実際に入られやすいわけです。つまり,「ISMS=情報セキュリティマネジメントシステム」の規格認証を取得することにより得られる果実は,実際に情報セキュリティ対策がはかれるという側面と,組織として「情報に関する防犯対策をしていますよ」と周知できるという側面との,2つ側面がある活動だ,と言えるのです。

情報セキュリティにおける基本 ~ ISMSが対象とするもの

ISMSは,情報セキュリティマネジメントシステムと,日本語では訳され,国際標準規格であるISO規格ではISO27001にあたります。では,ISMS=ISO27001において,情報セキュリティに関わる「脅威」には,どのようなものがあるのでしょう?

1.そもそも価値の高い情報は,組織内部にしかないのだが・・・

各組織には,機密とされる情報がたくさんあるはずです。たとえば,顧客や従業員の個人情報、製品・サービスの開発情報、経営計画の情報といったものです。それらは,その組織にとって非常に価値が高いもの。つまり,資産と言えるわけです。
そのような情報資産は,本来ならその組織内部で管理されており,外部に出ることはないはずです。これは,紙面に落とされている情報資産でも,データ化されている情報資産でも同じです。
一方,情報資産は,「資産」と言うだけあり,ただ貯めておくだけでは価値を生みません。よって,情報資産は「運用=投資」を行う対象となります。つまり,組織内部で利用することになるわけです。
利用するには,「利用できる環境を整備すること」が必要になります。紙面に落とされている情報資産であれば,それを閲覧できる環境をつくったり,複合機を通じてコピーしたり,といったことを通じて,利用するのが一般的でしょう。一方で,データ化されている情報資産の場合は,メディアを通じて,あるいは,イントラネットも含めネットワークを通じて,利用されることになるはずです。つまり,
「情報資産は利用できる環境をつくる必要もある」わけです。

2.情報セキュリティにおける「脅威」

 情報セキュリティにおける「脅威」は,大きくは「外部からの攻撃」と,「内部からの攻撃」との2つに分けることができるわけですが,実は,「情報資産は利用できる環境がある」ことが,その脅威の源になっています。

(1)外部からの攻撃

 外部からの攻撃とは,いわば見知らぬ他者からの泥棒行為であり,破壊行為です。
ここで特に問題になるのは,データ化されている情報資産です。
まずデータ化されている情報資産は,PCの中,スマートフォンの中,サーバの中,USBなどのメディアの中などに保管されることになります。一方,これを利用する場合には,USBなど物理的なモノを通じて利用するほか,ネットワークを通じて利用するケースが多くなります。仮にPC内にあるデータを利用する場合でも,そのPCが何らかのネットワークにつながっているのがほとんどでしょう。
ネットワークには,組織内部のみが使えるイントラネットと,外の世界ともつながるインターネットがありますが,外部からの攻撃はインターネットを通じて行われるのが主流となるわけです。その主なものとしては,コンピュータへの不正アクセス,ネットワークの盗聴,無線LANの盗用,スパイウエア・アドウエアといったいわゆるコンピュータウイルスなどがあり,このような泥棒・破壊行為により,大切な情報資産が漏洩させられたり,暴露されたり,改ざんされたり,破壊されたりするのです。

(2)内部からの攻撃

 内部からの攻撃とは,組織内部で働く,アルバイトやパート,常駐パートナーなどを含む方々によるものです。泥棒行為・破壊行為ももちろん考えられますが,むしろ,過失や紛失が原因となっているものが多いのが特徴です。たとえば,紙面化された機密情報をシュレッダーなどの適切な処理をせずに捨てた,機密情報を複合機で出力したまま放置し持ち去られた,PCやスマホ,USBなどのデバイスを紛失した・置き忘れた,TO指定やCC指定でメール配信してしまい顧客のメールアドレスをばら撒く形になってしまった,などが,「情報に関わるよくある事故」としてあげられます。
他にも,「本来アクセスする権限のない人や組織が,その情報にアクセスした」という場合も,立派な(?)情報漏洩・情報に関する事故です。たとえば,「上場企業が有力企業を買収することが担当者以外に知れてしまい,その情報を知った人が自社株を大量購入した」というようなケースがインサイダー取引として摘発対象になることを考えると,これが情報漏洩・情報に関する事故にあたることが理解できるのではないでしょうか。

3.情報セキュリティの3要素

 このように見てくると,情報セキュリティを考えるにあたって最も重要なことは,「その情報を利用できる権限を与えられた個人や組織だけが,その情報を意図通りに利用できる環境・状態をつくることだ」と,思われるのではないでしょうか?
 実際,ISMS=ISO27001において,「情報セキュリティとは,情報の機密性,完全性及び可用性の維持」と定義されています。そして,「機密性」「完全性」「可用性」は,情報セキュリティの3要素とされています。

(1)機密性:アクセスを認可された者だけが,情報にアクセスできることを確実にすること

 情報を機密度別に分類,かつ,役割・担当別に利用できる状態にする必要がある,ということです。誰でもかれでも情報にアクセスできる環境は,「外部から攻撃されやすくなる」,「内部での過失・紛失などが起きる可能性も高まる」と考えるとわかりやすいでしょう。よって,場合によっては社長ですら,一部の情報にはアクセスできないよう,制限をかける必要が出てくるのです。社長も人の子,悪いことをしないとは限らないし,過失を起こさないとは限らない,ということです(笑)

(2)完全性:情報および処理方法が正確であること及び完全であることを保護すること

 誤った情報を用いた場合,その後の対応も誤ることになる他,その他の問題を引き起こす可能性がでてきます。たとえば,料金引き落としについて,Aさんに請求すべきところをBさんに請求してしまった,そして,実際に引き落としてしまったとしたら,大問題であることがわかるでしょう。他にも,情報を最新のものに更新すること,改ざんされるようなことがない状態であること,必要な情報が消去されていないことなどが,完全性にあたります。

(3)可用性:認可された利用者が,必要なときに,情報及び関連する資産にアクセスできることを確実にすること

 ひと言で言えば,その情報を利用する権限が与えられている人が「使いたいときに,使える状態にあること」と言うことができます。よく「システムダウンや,天災が起きるなどしたときでもすぐに復旧できたり,情報にアクセスできたりする状態であること」などと説明されますが,単純に「必要な時に,必要な場所で,認可された人が認可された条件内で,その役割・担当の職務を行うことを目的に,定められた方法で」,「必要な情報を使えること」が必要だ,ということになります。

 実は,「機密性・完全性」と「可用性」は,一般的には「あちらを立てれば,こちらが立たず」という関係で成り立っています。たとえば,「機密性」を高めると,アクセスできる人が制限されるわけですから,「可用性」は低減しがちです。また,「完全性」を高めるために「加工は一切不可」のようにすると,これもまた「可用性」が低減されることになります。一方で,「可用性」を重視しすぎると,誰でもかれでも情報へのアクセスが可能になってしまいます。結果,外部からの攻撃を受けやすくなり,情報利用時に内部人員が過失や紛失を起こすリスクも高まるなど,「機密性・完全性」が失われかねません。よって,情報セキュリティにおいては,「脅威」との関係も見極めながら,この3要素のバランスを保つことが重要になるのです。

PAGE TOP